我找到了一个仅对其他网页执行ping操作的网站,有一个输入用于输入网站的地址,并将其输出结果作为段落显示在屏幕上,并且我提到此输入无效。我试图对自己当前网站的地址进行ping操作;和ID(网站; ID),输出为
uid=1000(ubuntu) gid=1000(ubuntu) groups=1000(ubuntu),27(sudo),1001(rvm)
但是我不知道这是什么意思,也许还有更多有用的东西可以从网页上接收任何数据,并且是否可以对此类输入进行SQL注入?
答案 0 :(得分:1)
我不认为这是sql注入。
我相信您偶然发现了remote code execution,这比sql injection还要好;)(您看到的输出是id中bash命令的结果)
,因为输出表明它是ubuntu服务器。您可以尝试一些linux命令并在服务器上收集更多信息。
注意:利用这些漏洞通常是非法的。除非网站管理员/维护者允许。
并回答您的问题。如果您拥有remote code execution,那么绝对有可能在同一网站上收集更多信息(如果您拥有rce,则几乎可以做任何事情)。或者您想在其他网站上收集信息。我建议收集一些基本信息,例如whois等。
答案 1 :(得分:0)
Ping不用于执行SQL注入或任何其他基于Web的攻击,因为它不使用Web。它可以通过向计算机发送大量ping请求来执行粗暴的DoS攻击。
机器管理员经常禁用ping响应,因此无法ping机器并不意味着它已关闭。